摘  要： 通過對一種ElGamal類型存在特權集的門限群簽名方案的分析研究,提出了一種基于ECC的存在特權集的門限群簽名方案。該方案能有效防止KDC的欺詐,且只有在同時滿足(t，n)和(t1，n1)門限簽名時才能生成消息的有效簽名，從而實現了門限特性，并具有門限群簽名應有的性質。
關鍵詞： 特權集；秘密共享；門限群簽名；ECC

    群簽名方案首次由Chanm和VanHeyst于1991年提出。在群簽名方案中，允許每個成員都可以代表整個群體進行簽名。在群簽名方案中引入秘密共享，解決密鑰安全與有效保管問題的同時也形成了一類新的群簽名方案——門限群簽名方案，即群體中的某些給定子集可以代表整個群體簽名。在門限群簽名方案中，門限群簽名是由參加簽名的各個成員所簽署的部分數字簽名按照某種方式結合后產生。2003年，BELLARE M等人提出了群簽名的簡化形式定義[1]。在這之后，不少學者提出的門限群簽名方案均采用形式化的方法證明方案的安全性。參考文獻[2]提出良好的門限群簽名應該具備以下一些性質：群簽名特性、門限特性、不可偽造性、驗證簡單性、匿名性、可追查性、強壯性。參考文獻[3]中，Chen Feng等人基于Shamir秘密共享體制并結合“存在特權集的門限群簽名方案”的思想[4]，構造了一類基于離散對數問題的ElGamal類型的存在特權集的門限群簽名方案。
    本文利用橢圓曲線密碼體制的特點對Chen Feng的方案進行改進。新的方案與原方案的共同點在于都使用雙重秘密共享技術和單簽名構造群簽名的技術[3]，不同之處在于新方案實現了群成員的加入和撤銷，提高了方案的通用性。同時，為了防止密鑰分配中心的欺詐[5]，各用戶對自己私鑰的有效性進行了驗證，并且利用橢圓曲線密碼體制的特點優化本方案，進而提高了方案的效率和安全性。
1 一種ElGamal類型的存在特權集的門限群簽名方案
    Chen Feng依據離散對數問題提出了一種存在特權集的ElGamal類型門限群簽名方案。
    其基本設計流程如下：
    (1)初始化：由可信的密鑰認證中心KAC選取2個安全參數p、q，在有限域Fq上隨機選取兩個多項式f(x)、g(x),次數分別為(t-1)、(t1-1)，并取有限域Fq的本原元?琢。
    (2)群密鑰及秘密碎片的產生：群密鑰d及群公鑰z由KAC隨機選取的兩個多項式構成。利用“雙重”SSS秘密共享方案為各簽名者建立公私鑰碎片。
    (3)簽名：群簽名由參與簽名的成員和簽名服務機構SC共同生成：每個成員先生成自己的單簽名，然后發送給SC驗證該單簽名是否為合法簽名，再由SC決定是否接受；如果接受的單簽名滿足門限要求，則計算組合出群對消息的簽名。
    Chen Feng方案可簡單描述為：在計算機網絡開放式環境下，一個能夠被完全信任的中心是不存在的。該方案的群密鑰和群成員的秘密份額都由可信的密鑰認證中心決定，不能保證密鑰認證中心分發給各用戶的密鑰碎片有效，存在密鑰分配中心欺詐的問題。此外方案沒有考慮到群成員的安全有效的加入和撤銷，因此不滿足群簽名的特性。
2 本文方案
    本文提出的基于ECC的存在特權集的門限群簽名方案共分為六個階段：系統初始化、群密鑰產生、群成員的加入和撤銷、密鑰分發、單個簽名生成與驗證、群簽名生成。
2.1 系統初始化階段
    該方案的系統參數意義如下：
    KDC：密鑰分配中心；
    Clerk：簽名服務者，負責頒布簽名；
    G：由n個簽名方組成的群體,至少有其中t方參與才可產生合法簽名；
    G1：G的子集，有n1(n1<n)個成員。至少有其中t1(t1<t)方參與才可產生合法簽名，稱為特權子集；
    G2：G的子集，其中的簽名方為普通用戶；
    ui：群成員pi的公開身份；
    IDi：群成員pi的真實身份。
    該方案的安全參數描述為：

 

    上述過程通過式(3)對群簽名的正確性進行了驗證。
3.2 安全性分析
    根據門限群簽名的特性對該方案進行安全性分析。
    (1)匿名性
    由于簽名者使用的是公開身份，公開身份和真實身份的對應關系只有Clerk和簽名者本身知道。其他用戶只知道通過廣播信道傳播出的Ri的值，并不能依據Ri來確定用戶的真實身份，也就無法根據群簽名（在未經特許的情況下）追蹤各簽名方的真實身份。因此該方案具有匿名性。
    (2)不可偽造性
    參與簽名的群成員只有獲得合法身份，才能獲得秘密鑰碎片進而生成有效的部分簽名，非法用戶無法偽造有效部分簽名。Clerk通過驗證?滓i=H(ui||IDi)來確定群成員的身份是否合法。
    (3)可追查性
    如果事后簽名出現矛盾，在得到許可的情況下，需要調查哪些成員參與簽名，Clerk很容易確定簽名方的真實身份。
    (4)抗合謀攻擊
    在秘密鑰碎片的分發上采用“雙重”SSS。當進行合謀攻擊時，如果不符合特權條件的要求，即使有t個或t個以上簽名者參與，g(0)的恢復也是不可能的，進而無法得到群密鑰；如果有不足t個人參與簽名，即使符合特權條件的要求（g(0)可以恢復）也不可能恢復f(0)，從而無法得到群密鑰。可見，該方案能抵抗合謀攻擊。
    (5)可撤銷性
    簽名者pi被撤銷后，在開始新的簽名過程時，KDC公布了新的Y′，pj就不能繼續參與群簽名的生成，因為此時群公鑰由原來的Y變成了Y′。
    若簽名者pj繼續使用原來的私鑰dj參與新的群簽名的生成，Clerk在收到pj的單簽名sj后，要根據pj的公鑰Yj驗證式(3)是否成立。然而Clerk在信道內無法獲得與pj相對應的Yj，也就無法驗證式(3)，因此Clerk拒絕接受該單簽名。所以，被撤銷后的簽名者pj并不能繼續參與群簽名的生成。
    (6)門限特性
    由于方案是基于雙重Shamir秘密共享建立的，因此在簽名階段具有門限方案的安全性：任意少于t個群的成員無法得到有效簽名，且任意少于t1個特權集成員也無法得到有效簽名。
3.3 效率分析
    本方案的建立基于橢圓曲線密碼體制，與ElGamal類型的基于離散對數問題的原方案相比密鑰長度和簽名長度都大大降低。
    ECC算法只需采用較短的密鑰就可達到與離散對數算法相同的加密強度。ECC算法具有每比特最高的安全強度。由于智能卡在CPU處理能力和RAM大小上受限，采用一種運算量小但同時能提供高加密強度的公鑰密碼機制對于實現數字簽名的應用非常關鍵。ECC在這方面具有明顯的優勢，160 bit ECC算法的安全性與1 024 bit采用基于離散對數問題的算法安全性相同。因此，采用橢圓曲線密碼體制設計的門限群簽名方案的計算量和通信量都要小于基于離散對數問題的ElGamal密碼體制的門限群簽名方案。
    本文基于橢圓曲線密碼體制和雙重Shamir秘密共享體制，結合Chen Feng的特權集思想，設計了一個同時具有門限群簽名功能和門限共享驗證功能的存在特權集的門限群簽名方案，該方案不但克服了目前一些方案的缺陷和弱點，而且具有更高的實現效率。方案除了具有門限群簽名的性質外，還可以利用公開驗證功能防止KDC欺詐。相對于原方案，本方案是基于橢圓曲線密碼體制建立的，在安全性和效率方面考慮得更全面。但是，如何將該方案推廣到實際應用中，仍有待于進一步研究。
參考文獻
[1] BELLARE M，MICCIANCIO D，WARINSCHI B.Foundation of group signatures: formal definitions, simplified requirements, and a construction based on generalassumptions[C]. Proc of EUROCRPT 2003，LNCS2656.Berlin: Springer-Verlag，2003：614-629.
[2] 王貴林，卿斯漢.幾個門限群簽名方案的弱點[J].軟件學報，2000，11(10)：1326-1332.
[3] 陳偉東，馮登國.一類存在特權集的門限群簽名方案[J].軟件學報，2005，16(7)：1289-1295.
[4] 石怡，馮登國.一類新型(tj，t，n)-門限群簽名方案的設計與分析[M].北京：科學出版社，2000.
[5] 彭長根，李祥，羅文俊.一種面向群組通信的通用門限簽密方案[J].電子學報，2007，35(1)：64-67.